事前共有鍵による IKE の構成

事前共有鍵は、IKE 用の最も簡単な認証方法です。IKE を使用するようにピアシステムを構成し、さらに、ユーザーが両方のシステムの管理者である場合、事前共有鍵を使用することをお勧めします。ただし、公開鍵認証とは異なり、事前共有鍵は IP アドレスに関連付けられます。事前共有鍵を特定の IP アドレスまたは IP アドレス範囲に関連付けることができます。事前共有鍵は、移動体システムや、番号が変更されることがあるシステムでは使用できませんが、番号の変更が、指定された IP アドレスの範囲内である場合を除きます。

事前共有鍵により IKE を構成する方法

IKE 実装では、鍵の長さが異なるさまざまなアルゴリズムが提供されます。鍵の長さは、サイトのセキュリティーに応じて選択します。一般的に、鍵の長さが長いほど、セキュリティーが高くなります。

この手順では、ASCII 形式の鍵を生成します。

これらの手順には、システム名 enigma および partym を使用します。enigma と partym を各自使用しているシステムの名前に置き換えてください。

1. 管理者になります。

   詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。リモートからログインする場合、セキュリティー保護されたリモートログイン用の ssh コマンドを使用してください。例については、例 15-1 を参照してください。

2. システムごとに、/etc/inet/ike/config ファイルを作成します。

   /etc/inet/ike/config.sample をテンプレートとして使用できます。

3. システムごとに、規則とグローバルパラメータを ike/config ファイルに入力します。

   これらの規則やグローバルパラメータは、システムの ipsecinit.conf ファイルに設定されている IPsec ポリシーが正しく動作するものでなければなりません。次の IKE 構成例は、「IPsec で 2 つのシステム間のトラフィックを保護するには」の ipsecinit.conf の例で機能します。

   1. たとえば、enigma システムの /etc/inet/ike/config ファイルを次のように変更します。

      ### ike/config file on enigma, 192.168.116.16
      
      ## Global parameters
      #
      ## Defaults that individual rules can override.
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      #
      ## The rule to communicate with partym # Label must be unique { label "enigma-partym" local_addr 192.168.116.16 remote_addr 192.168.13.213 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

   2. partym システムの /etc/inet/ike/config ファイルを次のように変更します。

      ### ike/config file on partym, 192.168.13.213
      ## Global Parameters
      #
      p1_xform
        { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
      p2_pfs 2
      
      ## The rule to communicate with enigma # Label must be unique { label "partym-enigma" local_addr 192.168.13.213 remote_addr 192.168.116.16 p1_xform { auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes } p2_pfs 5 }

4. システムごとに、ファイルの構文を確認します。

   # /usr/lib/inet/in.iked -c -f /etc/inet/ike/config

5. システムごとに /etc/inet/secret/ike.preshared ファイルを作成します。

   各ファイルに事前共有鍵を書き込みます。

   1. たとえば、enigma システムの ike.preshared ファイルは次のようになります。

      # ike.preshared on enigma, 192.168.116.16
      #…
      { localidtype IP
          localid 192.168.116.16
          remoteidtype IP
          remoteid 192.168.13.213
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
      # key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
      }

   2. partym システムの ike.preshared ファイルは次のようになります。

      # ike.preshared on partym, 192.168.13.213
      #…
      { localidtype IP
          localid 192.168.13.213
          remoteidtype IP
          remoteid 192.168.116.16
          # The preshared key can also be represented in hex
      # as in 0xf47cb0f432e14480951095f82b
          key "This is an ASCII Cqret phrAz, use str0ng p@ssword tekniques"
          }

6. IKE サービスを有効にします。

   # svcadm enable ipsec/ike

例 18-1 IKE 事前共有鍵を更新する

IKE 管理者が事前共有鍵を更新するときは、ピアシステム上のファイルを編集し、in.iked デーモンを再起動します。

最初に、管理者は 192.168.13.0/24 サブネット上のすべてのホストについて有効な、事前共有鍵エントリを追加します。

#…
{ localidtype IP
    localid 192.168.116.0/24
    remoteidtype IP
    remoteid 192.168.13.0/24
    # enigma and partym's shared passphrase for keying material 
key "LOooong key Th@t m^st Be Ch*angEd \"reguLarLy)"
    }

次に、管理者は各システムの IKE サービスを再起動します。

# svcadm enable ipsec/ike

次の手順

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするか更新してください。

新規ピアシステムのために IKE を更新する方法

同じピア間で動作中の構成に対して IPsec ポリシーエントリを追加した場合、IPsec ポリシーサービスを更新する必要があります。IKE の再構成または再起動は不要です。

IPsec ポリシーに新しいピアを追加した場合、IPsec の変更に加えて IKE 構成を変更する必要があります。

始める前に

ipsecinit.conf ファイルを更新し、ピアシステムの IPsec ポリシーを更新しました。

1. 管理者になります。

   詳細は、『Oracle Solaris の管理: セキュリティーサービス』の「管理権限を取得する方法」を参照してください。リモートからログインする場合、セキュリティー保護されたリモートログイン用の ssh コマンドを使用してください。例については、例 15-1 を参照してください。

2. IPsec を使用する新規システム用の鍵を管理するための IKE の規則を作成します。
   1. たとえば、enigma システムで、次の規則を /etc/inet/ike/config ファイルに追加します。

      ### ike/config file on enigma, 192.168.116.16
       
      ## The rule to communicate with ada
      
      {label "enigma-to-ada"
       local_addr 192.168.116.16
       remote_addr 192.168.15.7
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
          }

   2. ada システムで、次の規則を追加します。

      ### ike/config file on ada, 192.168.15.7
       
      ## The rule to communicate with enigma
      
      {label "ada-to-enigma"
       local_addr 192.168.15.7
       remote_addr 192.168.116.16
       p1_xform
       {auth_method preshared oakley_group 5 auth_alg sha256 encr_alg aes}
       p2_pfs 5
      }

3. ピアシステム用の IKE 事前共有鍵を作成します。
   1. enigma システムで、次の情報を /etc/inet/secret/ike.preshared ファイルに追加します。

      # ike.preshared on enigma for the ada interface
      # 
      { localidtype IP
        localid 192.168.116.16
        remoteidtype IP
        remoteid 192.168.15.7
        # enigma and ada's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

   2. ada システムで、次の情報を ike.preshared ファイルに追加します。

      # ike.preshared on ada for the enigma interface
      # 
      { localidtype IP
        localid 192.168.15.7
        remoteidtype IP
        remoteid 192.168.116.16
        # ada and enigma's shared key
        key "Twas brillig and the slivey toves did *s0mEtHiNg* be CareFULL hEEEr"
      }

4. 各システムで、ike サービスを更新します。

   # svcadm refresh ike

次の手順

IPsec ポリシーの設定がまだ完了していない場合、IPsec の手順に戻って IPsec ポリシーを有効にするか更新してください。